Gli esperti di Check Point Software hanno scoperto oltre 400 porzioni di codice vulnerabile nei DSP dei processori Snapdragon di Qualcomm. Considerato che l’azienda californiana possiede circa il 40% di market share, le vulnerabilità sono presenti in oltre un miliardo di smartphone. I dettagli tecnici non sono stati divulgati pubblicamente, ma i diretti interessati sono stati informati.
Alle vulnerabilità sono stati assegnati i seguenti numeri: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209. Check Point Software ha comunicato i dettagli a Qualcomm che ha già provveduto alla distribuzione delle patch agli OEM. Ora tocca ai produttori di smartphone rilasciare gli aggiornamenti, ma ciò avverrà sicuramente solo per i modelli più recenti. Milioni di dispositivi nel mondo rimarranno senza protezione con il rischio di lasciare aperte le porte a varie tipologie di attacchi.
Le vulnerabilità sono presenti nell’unità DSP (Digital Signal Processor) Hexagon dei SoC Snapdragon. Questo componente gestisce diverse funzionalità, come la ricarica rapida e l’elaborazione audio/video. Secondo Check Point Software, le vulnerabilità possono essere utilizzate per trasformare lo smartphone in un tool di spionaggio, in quanto un cybercriminale può registrare le chiamate, scattare foto e scoprire la posizione geografica dell’utente.
È possibile inoltre effettuare un attacco DoS (Denial-of-Service), impedendo l’accesso ai dati memorizzati sul dispositivo. Infine è possibile installare malware che non viene rilevato e non può essere eliminato. Un portavoce di Qualcomm ha rilasciato la seguente dichiarazione:
Fornire tecnologie che supportano sicurezza e privacy è una priorità per Qualcomm. Per quanto riguarda le vulnerabilità nel Qualcomm Compute DSP rivelate da Check Point, abbiamo lavorato diligentemente per risolvere il problema e rendere disponibili le opportune mitigazioni agli OEM. Non abbiamo prove che siano state sfruttate. Incoraggiamo gli utenti finali ad aggiornare i dispositivi non appena le patch saranno disponibili e ad installare solo applicazioni da fonti attendibili, come il Google Play Store.